FIDO セキュリティキーの有効化 (コンソール)

FIDO セキュリティキーは、多要素認証 (MFA) デバイスの一種で、AWS リソースを保護するために使用します。FIDO のセキュリティキーをコンピュータの USB ポートに接続し、以下の手順で有効にします。有効にした後、サインインプロセスを安全に完了するように求められたら、そのキーをタップします。すでに他のサービスで FIDO セキュリティキーを使用していて、AWS でサポートされている構成 (Yubico の YubiKey 5 シリーズなど) がある場合は、そのキーも AWS で使用できます。それ以外の場合、AWS で MFA 用に WebAuthn を使用するには、FIDO セキュリティキーを購入する必要があります。さらに、FIDO セキュリティキーは、同じデバイスで複数の IAM ユーザーまたはルートユーザーをサポートできるため、アカウントセキュリティのユーティリティが強化されます。両方のデバイスタイプの仕様と購入情報については、「多要素認証」を参照してください。仕様および購入情報については、「多要素認証」を参照してください。

FIDO2 はオープンな認証標準の FIDO U2F の拡張であり、公開鍵暗号に基づくセキュリティと同等の高レベルのセキュリティを提供します。FIDO2 は、W3C Web 認証仕様 (WebAuthn API) と、アプリケーション層プロトコルである FIDO アライアンスの Client-to-Authenticator Protocol (CTAP) で構成されています。CTAP は、ブラウザやオペレーティングシステムなどのクライアントまたはプラットフォームと外部認証システムとの間の通信を可能にします。AWS で FIDO 認定の認証を有効にすると、FIDO セキュリティキーにより、AWS でのみ使用するための新しいキーペアが作成されます。まず、認証情報を入力します。プロンプトが表示されたら、AWS によって発行された認証チャレンジに応答する FIDO セキュリティキーをタップします。FIDO2 標準の詳細については、「FIDO2 プロジェクト」を参照してください。

AWS アカウント ルートユーザーおよび IAM ユーザーに対し、現在サポートされている MFA タイプの任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。MFA デバイスが複数ある場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。複数の MFA デバイスを登録することをお勧めします。例えば、組み込みの認証アプリを登録し、物理的に安全な場所に保管するセキュリティキーも登録することができます。組み込みの認証アプリを使用できない場合は、登録済みのセキュリティキーを使用できます。認証アプリについては、認証アプリが搭載されたデバイスを紛失したり破損したりした場合に、アカウントにアクセスできなくなるのを防ぐため、それらのアプリのクラウドバックアップまたは同期機能を有効にすることもお勧めします。

注記

人間のユーザーが AWS にアクセスする場合には、一時的な認証情報の使用を推奨します。ユーザーは、ID プロバイダーを使用して AWS にフェデレーションし、会社の認証情報と MFA 設定で認証できます。AWS へのアクセスとビジネスアプリケーションを管理する場合は、IAM Identity Center の使用をお勧めします。詳細については、「The IAM Identity Center User Guide」(IAM Identity Center ユーザーガイド) を参照してください。

トピック

• 必要なアクセス許可
• 独自の IAM ユーザーの FIDO セキュリティキーを有効にする (コンソール)
• 別の IAM ユーザーの FIDO セキュリティキーを有効にする (コンソール)
• FIDO セキュリティキーの交換
• FIDO セキュリティキーを使用するためのサポートされる設定

必要なアクセス許可

重要な MFA 関連のアクションを保護しながら、独自の IAM ユーザー用に FIDO セキュリティキーを管理するには、次のポリシーのアクセス許可が必要です。

注記

ARN は静的な値であり、認証機能を登録するためにどのプロトコルが使用されたかを示すものではありません。U2F は廃止されたため、新しい実装はすべて WebAuthn を使用しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

独自の IAM ユーザーの FIDO セキュリティキーを有効にする (コンソール)

独自の IAM ユーザーの FIDO セキュリティキーは、AWS CLI または AWS API からではなく、AWS Management Console からのみ有効にすることができます。

注記

FIDO セキュリティキーを有効にする前に、そのデバイスに物理的にアクセスできる必要があります。

注記

Google Chrome では、[Verify your identity with amazon.com] (amazon.comで本人確認をしてください) と要求するポップアップが表示されますが、いずれのオプションも選択しないようにしてください。セキュリティキーをタップするだけでよいのです。

独自の IAM ユーザーの FIDO セキュリティキーを有効にするには (コンソール)

1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して IAM コンソールにサインインします。

   注記

   利便性のため、AWS サインインページは、ブラウザ cookie を使用して IAM ユーザー名とアカウント情報を記憶します。以前に別のユーザーとしてサインインしたことがある場合は、ページの下部にある[別のアカウントにサインイン]を選択し、メインのサインインページに戻ります。そこから、AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトされるようにすることができます。

   AWS アカウント アカウント ID の取得については、管理者にお問い合わせください。

2. 右上のナビゲーションバーで自分のユーザー名を選択し、続いて [Security credentials] (セキュリティ認証情報) を選択します。

   

3. [AWS IAM 認証情報] タブの [多要素認証 (MFA)] セクションで、[MFA デバイスの割り当て] を選択します。

4. ウィザード内の [Device name] (デバイス名) に入力してから、[Security Key] (セキュリティキー) 、[Next] (次へ) の順に選択します。

5. コンピュータの USB ポートに FIDO セキュリティキーを挿入します。

   

6. FIDO セキュリティキーをタップします。

これで、FIDO セキュリティキーは AWS で使用可能になりました。AWS Management Consoleでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

別の IAM ユーザーの FIDO セキュリティキーを有効にする (コンソール)

別の IAM ユーザーの FIDO セキュリティキーは、AWS CLI または AWS API からではなく、AWS Management Console からのみ有効にすることができます。

別の IAM ユーザーの FIDO セキュリティキーを有効にするには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで [Users (ユーザー)] を選択します。

3. MFA を有効化するユーザーの名前を選択します。

4. [Security Credentials] タブを選択します。[Multi-factor authentication (MFA) (多要素認証 (MFA)) で、[Assign MFA device] (MFA デバイスの割り当て) を選択します。

5. ウィザード内の [Device name] (デバイス名) に入力してから、[Security Key] (セキュリティキー) 、[Next] (次へ) の順に選択します。

6. コンピュータの USB ポートに FIDO セキュリティキーを挿入します。

   

7. FIDO セキュリティキーをタップします。

これで、FIDO セキュリティキーは AWS で使用可能になりました。AWS Management Consoleでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

FIDO セキュリティキーの交換

「現在サポートされている MFA タイプ」の任意の組み合わせで、一度に最大 8 台の MFA デバイスを、AWS アカウントのルートユーザー および IAM ユーザーに割り当てることができます。ユーザーが FIDO の認証装置を紛失した場合や、何らかの理由で交換する必要がある場合、最初に古い FIDO 認証装置を無効化する必要があります。その後、そのユーザー用に新しい MFA デバイスを追加できます。

• IAM ユーザーに関連付けられているデバイスを非アクティブ化するには、「MFA デバイスの無効化」を参照してください。

• IAM ユーザー用に新しい FIDO セキュリティキーを追加するには、「独自の IAM ユーザーの FIDO セキュリティキーを有効にする (コンソール)」を参照してください。

新しい FIDO セキュリティキーにアクセスできない場合は、新しい仮想 MFA デバイスまたはハードウェア TOTP トークンを有効化します。手順については、以下のいずれかを参照してください。

• 仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

• ハードウェア TOTP トークンの有効化 (コンソール)